Studente infiltreer 'n gasheerrekenaar onder die wakende oog van 'n mentor tydens die vang van die vlag. Richard Matthews, Skrywer verskaf.
Wat het kernduikbote, top geheime militêre basisse en private ondernemings in gemeen?
Hulle is almal kwesbaar vir 'n eenvoudige sny cheddar.
Dit was die duidelike resultaat van 'n “pen testing” -oefening, ook bekend as penetrasietoetsing, aan die jaarlikse Cyber Security Summer School in Julie in Tallinn, Estland.
Ek het saam met 'n kontingent van Australië die derde jaarlikse navorsing bygewoon Interdissiplinêre kubernavorsingswerkswinkel. Ons het ook die kans gekry om ondernemings soos Skype en Funderbeam, Sowel as die NAVO Samewerkende Cyber Defense Centre of Excellence.
Die tema van hierdie jaar se skool was sosiale ingenieurswese - die kuns om mense te manipuleer om kritiese inligting aanlyn te versprei sonder om dit te besef. Ons het gefokus op waarom sosiale ingenieurswese werk, hoe om sulke aanvalle te voorkom en hoe om digitale bewyse na 'n voorval in te samel.
Die hoogtepunt van ons besoek was deelname aan 'n lewendige vuur wat die vlag (CTF) se kuberreeksoefening vasgevang het, waar spanne sosiale ingenieursaanvalle uitgevoer het om 'n regte maatskappy te toets.
Pen toetsing en regte wêreldvissery
Pen toets is 'n gemagtigde gesimuleerde aanval op die veiligheid van 'n fisiese of digitale stelsel. Dit het ten doel om kwesbaarhede te vind wat misdadigers kan benut.
Sulke toetsing wissel van die digitale, waar die doel is om toegang tot lêers en private data te kry, tot die fisieke, waar navorsers in werklikheid probeer om geboue of ruimtes binne 'n onderneming te betree.
Studente van die Universiteit van Adelaide het 'n privaat toer deur die Tallinn Skype-kantoor bygewoon vir 'n aanbieding oor kuberveiligheid. Richard Matthews, skrywer met dien verstande
Gedurende die somerskool het ons gehoor van professionele hackers en pen-toetsers van regoor die wêreld. Daar is stories vertel oor hoe fisieke toegang tot veilige gebiede verkry kan word deur slegs 'n kaasvorm soos 'n ID-kaart en vertroue te gebruik.
Ons het hierdie lesse dan prakties gebruik deur middel van verskillende vlae - doelwitte wat spanne moes bereik. Ons uitdaging was om 'n gekontrakteerde onderneming te beoordeel om te sien hoe vatbaar dit was vir aanvalle op sosiale ingenieurswese.
Fisiese toetsing was spesifiek buite perke tydens ons oefeninge. Etiese grense is ook met die onderneming opgestel om te verseker dat ons optree as kuberveiligheidspesialiste en nie as misdadigers nie.
OSINT: Open Source Intelligence
Die eerste vlag was om die onderneming te ondersoek.
Eerder as om na 'n werksonderhoud te gaan navorsing doen, het ons na moontlike kwesbaarhede in die openbaar beskikbare inligting gaan soek. Dit staan bekend as open source intelligence (OSINT). Soos:
- wie is die raad van direkteure?
- wie is hul assistente?
- watter gebeure vind by die onderneming plaas?
- sal hulle waarskynlik op die oomblik met vakansie wees?
- watter kontakinligting vir werknemers kan ons insamel?
Ons kon al hierdie vrae met buitengewone duidelikheid beantwoord. Ons span het selfs direkte telefoonnommers en maniere na die onderneming gevind uit gebeure wat in die media berig is.
Die phishing-e-pos
Hierdie inligting is toe gebruik om twee phishing-e-posse te skep wat gerig is op teikens wat uit ons OSINT-ondersoeke geïdentifiseer is. Uitvissing is wanneer kwaadwillige aanlyn-kommunikasie gebruik word om persoonlike inligting te bekom.
Die doel van hierdie vlag was om 'n skakel te kry binne ons e-posse waarop u geklik het. Om wettige en etiese redes kan die inhoud en voorkoms van die e-pos nie bekend gemaak word nie.
Net soos klante klik terme en voorwaardes sonder om te lees, gebruik ons die feit dat ons teikens op 'n skakel van belang sou klik sonder om te kyk waarheen die skakel wys.
Die aanvanklike infeksie van 'n stelsel kan verkry word deur 'n eenvoudige e-pos met 'n skakel. Freddy Dezeure / C3S, skrywer met dien verstande
Sodra u op die skakel klik, word u rekenaarstelsel in gevaar gestel. In ons geval het ons ons teikens na gunstige werwe gestuur.
Die meerderheid spanne aan die somerskool behaal 'n suksesvolle e-posaanval. Sommige het selfs daarin geslaag om hul e-pos deur die hele maatskappy te stuur.
As werknemers e-posse in 'n onderneming stuur, neem die vertrouensfaktor van die e-pos toe en word daar waarskynlik meer van die skakels in die e-pos geklik. Freddy Dezeure / C3S, skrywer met dien verstande
Ons resultate versterk die bevindinge van navorsers oor mense se onvermoë om 'n e-pos in die gedrang te bring en 'n betroubare een te onderskei. Een studie van 117 mense het gevind dat dit ongeveer 42% van die e-posse is verkeerd geklassifiseer deur die ontvanger as eg of vals.
Phishing in die toekoms
Uitvissing sal waarskynlik slegs kry meer gesofistikeerd.
Met 'n toenemende aantal internet-gekoppelde toestelle wat nie basiese sekuriteitstandaarde het nie, stel navorsers voor dat phishing-aanvallers metodes sal soek om hierdie toestelle te kap. Maar hoe sal ondernemings reageer?
Op grond van my ervaring in Tallinn, sal ons sien dat maatskappye deursigtig word in die hantering van kuberaanvalle. Na 'n massiewe kuberaanval in 2007die Estlandse regering het byvoorbeeld op die regte manier gereageer.
Eerder as om 'n draai aan die publiek te gee en die regeringsdienste te bedek wat stadigaan vanlyn gaan, het hulle erken dat hulle deur 'n onbekende buitelandse agent aangeval word.
Net so sal ondernemings moet erken wanneer hulle aangeval word. Dit is die enigste manier om vertroue tussen hulself en hul kliënte te vestig, en die verspreiding van 'n phishing-aanval te voorkom.
Kan ek jou tot dan interesseer gratis anti-phishing sagteware?
Oor die skrywer
Richard Matthews, PhD Kandidaat, Universiteit van Adelaide
Hierdie artikel is gepubliseer vanaf Die gesprek onder 'n Creative Commons lisensie. Lees die oorspronklike artikel.
